Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-03067: Уязвимость методов алгоритма преобразования строки в число с плавающей запятой Kernel#Float и String#to_f интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость методов алгоритма преобразования строки в число с плавающей запятой Kernel#Float и String#to_f интерпретатора языка программирования Ruby связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Сообщество свободного программного обеспечения, Red Hat Inc., ООО «Ред Софт», АО «ИВК», Ruby Team
Наименование ПО	Debian GNU/Linux, Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, Ruby
Версия ПО	9 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 11 (Debian GNU/Linux) 7.3 (РЕД ОС) - (Альт 8 СП) 9 (Red Hat Enterprise Linux) до 2.6.10 (Ruby) от 2.7.0 до 2.7.6 (Ruby) от 3.0.0 до 3.0.4 (Ruby) от 3.1.0 до 3.1.2 (Ruby)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) АО «ИВК» Альт 8 СП - Red Hat Inc. Red Hat Enterprise Linux 9
Тип ошибки	Выход операции за границы буфера в памяти, Чтение за границами буфера, Неправильное преобразование типов
Идентификатор типа ошибки	CWE-119 CWE-125 CWE-704
Класс уязвимости	Уязвимость кода
Дата выявления	12.04.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Ruby : https://www.ruby-lang.org/en/news/2022/04/12/buffer-overrun-in-string-to-float-cve-2022-28739/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-28739 Для РЕД ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian: https://security-tracker.debian.org/tracker/CVE-2022-28739 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/ https://hackerone.com/reports/1248108 https://security-tracker.debian.org/tracker/CVE-2022-28739 https://www.ruby-lang.org/en/news/2022/04/12/buffer-overrun-in-string-to-float-cve-2022-28739/ https://nvd.nist.gov/vuln/detail/CVE-2022-28739 https://bugzilla.redhat.com/show_bug.cgi?id=2075687 https://access.redhat.com/security/cve/cve-2022-28739 https://altsp.su/obnovleniya-bezopasnosti/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-28739
Прочая информация	Данные уточняются

Последние изменения